Covid-19大流行永远地改变了我们的工作方式。尽管部分员工在限制放宽后立即重返办公室，但许多员工仍希望继续远程工作。根据Gartner的调查数据显示，60%的知识工作者是远程办公的，至少18%的人短期内并不打算回到办公室。

混合办公对一些员工来说无疑是一个很好的选择。然而，混合工作环境可能会给组织带来相当大的安全风险，并使他们面临内部威胁。在本文中，我们总结了10佳实践，以帮助组织在混合办公模式中降低内部威胁风险。

什么是混合办公？

根据Gartner的说法，混合办公是一种灵活的工作模式，员工需要每周至少去一次办公室，而每周剩余的时间则可以远程工作。混合办公模式可能因组织而异。以下是最流行的一些类型：

灵活的混合工作模式——员工根据自己的优先级选择工作地点。

固定混合工作模式——组织为员工设置远程工作或来办公室工作的日期和时间。

办公室优先的混合工作模式——员工主要在办公室工作，但可以选择每周远程工作一到两天。

远程优先的混合工作模式——员工大部分时间都在远程工作，但偶尔会来办公室。

不过，无论员工选择哪种模式都会带来一定程度的安全风险。

为什么混合办公环境存在网络安全风险？

混合劳动力模型的大多数安全风险都与远程工作者有关。密切关注可能的威胁至关重要，因为它们可能会导致耗尽资源的网络安全事件。例如，在Ubiquiti Networks公司，一名员工使用VPN窃取了内部数据，并要求雇主支付赎金。

混合办公模式会对企业的安全造成威胁，原因有以下几点： 

使用公共Wi-Fi：当员工通过公共Wi-Fi连接到企业网络时，黑客总是有可能拦截会话。然后，恶意行为者可以访问从员工设备发送到企业网络的所有信息，并可能将其用于恶意目的。此外，黑客可以用恶意软件感染员工的设备，从而危及组织的网络安全。

设备保护不足：员工的个人设备通常缺乏杀毒软件、正确配置的防火墙和加密软件等工具。即使雇主为远程工作提供了设备，员工也可能在无意中将组织的敏感信息泄露给外人。例如，员工可能把设备落在家里无人看管、丢失或被偷。

对员工的活动缺乏控制：很难监视和控制远程员工的活动。虽然安全人员可以通过组织内部的防火墙限制对某些高风险网站的访问，但他们很少能对远程工作者做同样的事情。

有限的事件响应能力：如果许多设备位于组织的安全边界之外，那么及时检测和缓解安全事件将极具挑战性。

难以实现安全策略：在许多使用混合模式的组织中，员工经常使用没有安装安全和监控工具的个人设备。在这种情况下，要遵循既定的安全策略是很棘手的。

对于处理敏感数据的组织来说，混合办公模式似乎存在很大风险。然而，有很多方法可以提高混合工作环境的网络安全态势。下面，我们将给出10个最佳实践，以帮助组织保护混合工作环境免受内部威胁。

最佳实践

如果您的组织已经使用混合办公模式或正计划这样做，请考虑实施以下安全最佳实践，以确保足够的网络安全水平。

1. 评估内部威胁风险

内部威胁风险评估可帮助您确定组织网络中最需要保护的数据资产和区域。当您彻底确定内部风险的优先级时，可以更容易地选择和实现可能帮助您在混合环境中成功预防和阻止内部威胁攻击的安全过程。

在执行风险评估时，密切关注与混合和远程工作相关的方面。考虑一下如何保护远程工作人员和他们用于工作的设备，以及提高远程端点可见性的方法。

2. 创建一个内部威胁程序

内部威胁程序是组织用来预防和处理内部威胁的一套措施。已建立的内部威胁计划可以帮助您的组织以有组织和及时的方式阻止、检测和减轻内部威胁。

构建内部威胁计划需要进行一系列活动，从估计实施计划所需的资源，到选择负责事件检测和补救的员工，再到创建事件响应策略。考虑组织的特定目标、安全优先级和资源，对于使内部威胁计划尽可能有效至关重要。

3. 制定远程访问策略

由于相当一部分员工在混合办公环境中远程工作，因此建立远程访问策略（RAP）至关重要。RAP概述了用于控制访问、从网络外部建立与组织数据和系统的连接、保护登录凭据等的方法。全面的RAP将准确地告诉您的员工如何保护他们对组织资源的远程访问。反过来，这可以降低来自混合办公模式的网络安全事件的风险。

4. 采用零信任架构

强制实施零信任架构可以在不大幅增加成本的情况下显著提高组织的安全性。在实践中，零信任需要在允许访问组织的任何资源之前验证每个用户。这种方法可以帮助您降低组织网络受到攻击的风险，提高对谁访问组织资源的可见性，并提高检测潜在威胁的能力。

5. 实施最小特权原则

最小特权原则是另一种安全方法，可以帮助您最小化混合环境中的攻击面，并加强敏感数据的安全性。在使用混合办公模式时，限制用户的特权并防止恶意的内部人员或外部攻击者访问组织最有价值的资产尤其重要。

最小特权原则要求将所有员工的特权最小化，只保留那些必要的特权。这意味着您的员工只能访问他们履行职责所需的系统和数据。

6. 对所有帐户和设备使用多因素身份验证

多因素身份验证（MFA）不仅是经过时间考验的最佳安全实践之一，也是许多数据隐私和安全标准、法律和法规的要求，例如支付卡行业数据安全标准（PCI DSS）、SOX法案和HIPAA。

MFA可以帮助使用混合工作场所模型的组织与远程工作者建立安全连接，以增加对敏感公司数据的保护。在组织中采用MFA可以在不影响员工生产力的情况下增强网络安全。

7. 控制组织中密码的使用

让所有员工知道组织关键端点的登录凭证是一种没有人能承担的风险。相反，组织可以部署密码管理解决方案，允许员工访问某些端点，而无需向这些端点透露实际密码。许多解决方案还提供手动或自动密码更新，以进一步保护关键资源的登录凭据。

8. 监控员工活动

无论是有意还是无意，办公室员工和远程员工都可能使您的组织网络处于危险之中。用户活动监视可以帮助您提高可见性，并在为时已晚之前发现员工疏忽或恶意行为的迹象。在混合办公环境中拥有强大的用户活动监控工具可以极大地帮助混合团队抵御内部威胁。监视员工的活动对于收集证据和事件调查也很有用。

9. 部署UEBA工具

即使有适当的监控解决方案，也很难跟踪员工的行为何时开始变得恶意。但是，部署用户和实体行为分析（UEBA）解决方案可以帮助安全团队在混合工作环境中减轻内部威胁风险。

当新员工开始在您的网络中工作时，UEBA工具会确定他们的基线行为（即正常行为）。每当员工的行为偏离基线时，UEBA工具就会通知您，以便您或您的安全人员可以调查此事并确定员工的行为是否恶意。

10. 进行网络安全意识培训

当员工缺乏网络安全意识，不了解组织的安全政策时，他们往往会忽视必要的安全措施。根据波耐蒙研究所发布的《2022年内部威胁成本全球报告》显示，56%的内部事件是由疏忽造成的。通过定期对办公室和远程员工进行网络安全培训，可以显著减少安全错误的数量。

参考及来源：https://www.ekransystem.com/en/how-to-reduce-insider-threat-risks-in-a-hybrid-office